De uitdaging bij Business Continuity Management

P.J. Manchem, J. Hoogstra, R.A.L. Velthoen

Research output: Contribution to journalArticleAcademic

109 Downloads (Pure)

Abstract

Ruim tweeënhalf jaar na de aanslagen in Amerika, anderhalf jaar na de brand bij de Universiteit Twente in Enschede en de bommeldingen bij IKEA zou men verwachten dat veel organisaties hun Business Continuity Management (BCM) op orde zouden hebben. Voor de IT-auditors zou dit dan betekenen dat zij het erg druk hebben gehad met het beoordelen van continuïteitsplannen en/of het adviseren over de continuïteitsmaatregelen. Integendeel. De meeste organisaties hebben nog steeds niet geïnventariseerd of de Business Continuity afdoende is geregeld, laat staan afdoende maatregelen zijn getroffen! 'Ach, de kans op een bommelding of een grote brand is erg klein', luidt vaak de reactie van het management. Het lijkt een logische reactie. Maar wordt er tegelijkertijd ook stilgestaan bij de gevolgen van stroomstoringen, de afhankelijkheid van telefonie en e-mail tijdens kantooruren, de afhankelijkheid van bepaalde fysieke brondocumenten en de gevolgen van een brand in een deel van een gebouw? Dit soort relatief 'onschuldige' risico's worden in de praktijk onderschat. Voor de IT-auditor vormt dit nou juist de uitdaging. Hoe zorg je ervoor dat het management je niet lastig en erg theoretisch vindt, maar ziet als een professional die hem kan ondersteunen bij het managen van de belangrijkste restrisico's rondom Business Continuity. Immers, elke organisatie heeft maatregelen getroffen om de continuïteit te waarborgen en risico's af te dekken, al is het alleen maar het maken van back-ups van data of het archiveren van brondocumenten. Het is niet reëel om te veronderstellen dat je alle risico's kunt afdekken. Er is altijd sprake van bepaalde restrisico's die moeten worden geaccepteerd door het management. Dit houdt voor de IT-auditor in dat door het focussen op de restrisico's met betrekking tot Business Continuity, hij een waardevolle bijdrage kan leveren aan de ICT Governance binnen een organisatie. In dit artikel wordt ingegaan op de wijze waarop een IT-auditor in een Business Continuity-traject zich kan richten op de (rest)risico's en welke methodieken en hulpmiddelen hij hiervoor tot zijn beschikking heeft.
Original languageUndefined
Pages (from-to)3-9
JournalCompact
Volume2004
Issue number2
Publication statusPublished - 2004

Keywords

  • IR-96495

Cite this